Široké prijatie cloud computingu pomáha spoločnostiam rozširovať ich podnikanie. Používanie nových platforiem však znamená aj vznik nových hrozieb. Udržať si vlastný tím v rámci organizácie zodpovednej za monitorovanie bezpečnosti cloudových služieb nie je ľahká úloha. Existujúce monitorovacie nástroje sú drahé a pomalé. Do určitej miery je ťažké ich spravovať, pokiaľ ide o zabezpečenie rozsiahlej cloudovej infraštruktúry. Na udržanie zabezpečenia cloudu na vysokej úrovni potrebujú spoločnosti výkonné, flexibilné a intuitívne nástroje, ktoré idú nad rámec toho, čo bolo predtým dostupné. Práve tu prichádzajú veľmi užitočné technológie s otvoreným zdrojovým kódom, ktoré pomáhajú šetriť rozpočty na zabezpečenie a vytvárajú ich špecialisti, ktorí vedia veľa o svojom podnikaní.
Článok, ktorého preklad dnes uverejňujeme, prináša prehľad 7 open source nástrojov na sledovanie bezpečnosti cloudových systémov. Tieto nástroje sú navrhnuté tak, aby chránili pred hackermi a kyberzločincami odhaľovaním anomálií a nebezpečných činností.
1. Osquery
je systém pre nízkoúrovňové monitorovanie a analýzu operačných systémov, ktorý umožňuje bezpečnostným profesionálom vykonávať komplexné dolovanie údajov pomocou SQL. Rámec Osquery môže bežať na systémoch Linux, MacOS, Windows a FreeBSD. Predstavuje operačný systém (OS) ako vysokovýkonnú relačnú databázu. To umožňuje bezpečnostným špecialistom preskúmať OS spustením SQL dotazov. Pomocou dotazu môžete napríklad zistiť spustené procesy, načítané moduly jadra, otvorené sieťové pripojenia, nainštalované rozšírenia prehliadača, hardvérové udalosti a hodnoty hash súborov.
Rámec Osquery vytvoril Facebook. Jeho kód bol otvorený v roku 2014, keď si spoločnosť uvedomila, že nielen ona potrebuje nástroje na monitorovanie nízkoúrovňových mechanizmov operačných systémov. Odvtedy Osquery používajú špecialisti zo spoločností ako Dactiv, Google, Kolide, Trail of Bits, Uptycs a mnoho ďalších. Bolo to nedávno že Linux Foundation a Facebook vytvoria fond na podporu Osquery.
Démon monitorovania hostiteľov spoločnosti Osquery, nazývaný osqueryd, vám umožňuje plánovať dotazy, ktoré zhromažďujú údaje z celej infraštruktúry vašej organizácie. Démon zhromažďuje výsledky dotazov a vytvára protokoly, ktoré odrážajú zmeny v stave infraštruktúry. To môže pomôcť bezpečnostným odborníkom držať krok so stavom systému a je to užitočné najmä pri identifikácii anomálií. Možnosti agregácie protokolov Osquery vám môžu pomôcť nájsť známy a neznámy malvér, ako aj identifikovať, kde útočníci vstúpili do vášho systému, a zistiť, aké programy si nainštalovali. Prečítajte si viac o detekcii anomálií pomocou Osquery.
2.GoAudit
Systém pozostáva z dvoch hlavných komponentov. Prvým je nejaký kód na úrovni jadra určený na zachytávanie a monitorovanie systémových volaní. Druhým komponentom je démon používateľského priestoru s názvom . Je zodpovedný za zápis výsledkov auditu na disk. , systém vytvorený spoločnosťou a vydané v roku 2016 s cieľom nahradiť auditované. Má vylepšené možnosti protokolovania konvertovaním viacriadkových správ o udalostiach generovaných systémom auditovania Linuxu na jednotlivé bloby JSON pre jednoduchšiu analýzu. Pomocou GoAudit môžete priamo pristupovať k mechanizmom na úrovni jadra cez sieť. Okrem toho môžete povoliť minimálne filtrovanie udalostí na samotnom hostiteľovi (alebo úplne zakázať filtrovanie). GoAudit je zároveň projekt určený nielen na zaistenie bezpečnosti. Tento nástroj je navrhnutý ako nástroj bohatý na funkcie pre profesionálov v oblasti podpory systémov alebo vývoja. Pomáha bojovať proti problémom vo veľkých infraštruktúrach.
Systém GoAudit je napísaný v jazyku Golang. Je to typovo bezpečný a vysoko výkonný jazyk. Pred inštaláciou GoAudit skontrolujte, či je vaša verzia Golang vyššia ako 1.7.
3. Grapl
Projekt (Graph Analytics Platform) bola v marci minulého roka prevedená do kategórie open source. Ide o relatívne novú platformu na zisťovanie bezpečnostných problémov, vykonávanie počítačovej forenznej analýzy a generovanie správ o incidentoch. Útočníci často používajú niečo ako grafový model, získavajú kontrolu nad jedným systémom a skúmajú ďalšie sieťové systémy, počnúc týmto systémom. Preto je celkom prirodzené, že ochrancovia systému budú využívať aj mechanizmus založený na modeli grafu prepojení sieťových systémov s prihliadnutím na osobitosti vzťahov medzi systémami. Grapl demonštruje pokus implementovať opatrenia na detekciu a odozvu incidentov na základe grafového modelu a nie logaritmického modelu.
Nástroj Grapl berie protokoly súvisiace s bezpečnosťou (protokoly Sysmon alebo protokoly v bežnom formáte JSON) a konvertuje ich na podgrafy (definujúce „identitu“ pre každý uzol). Potom skombinuje podgrafy do spoločného grafu (Master Graph), ktorý predstavuje akcie vykonané v analyzovaných prostrediach. Grapl potom spustí analyzátory na výslednom grafe pomocou „podpisov útočníkov“ na identifikáciu anomálií a podozrivých vzorov. Keď analyzátor identifikuje podozrivý podgraf, Grapl vygeneruje konštrukt Engagement určený na vyšetrovanie. Engagement je trieda Pythonu, ktorú je možné načítať napríklad do notebooku Jupyter nasadeného v prostredí AWS. Grapl navyše môže rozšíriť rozsah zhromažďovania informácií na vyšetrovanie incidentov prostredníctvom rozšírenia grafov.
Ak chcete Graplovi lepšie porozumieť, môžete sa pozrieť zaujímavé video - záznam vystúpenia z BSides Las Vegas 2019.
4. OSSEC
je projekt založený v roku 2004. Tento projekt možno vo všeobecnosti charakterizovať ako platformu na monitorovanie bezpečnosti s otvoreným zdrojom, ktorá je určená na analýzu hostiteľov a detekciu narušenia. OSSEC sa stiahne viac ako 500000 XNUMX-krát ročne. Táto platforma sa používa hlavne ako prostriedok na detekciu prienikov na servery. Navyše hovoríme o lokálnych aj cloudových systémoch. OSSEC sa tiež často používa ako nástroj na skúmanie protokolov monitorovania a analýzy firewallov, systémov detekcie narušenia, webových serverov a tiež na štúdium protokolov autentifikácie.
OSSEC kombinuje schopnosti hostiteľského systému detekcie prienikov (HIDS) so systémom správy bezpečnostných incidentov (SIM) a správy bezpečnostných informácií a udalostí (SIEM). OSSEC môže tiež monitorovať integritu súborov v reálnom čase. To napríklad monitoruje register systému Windows a zisťuje rootkity. OSSEC je schopný informovať zainteresované strany o zistených problémoch v reálnom čase a pomáha rýchlo reagovať na zistené hrozby. Táto platforma podporuje Microsoft Windows a najmodernejšie systémy podobné Unixu, vrátane Linuxu, FreeBSD, OpenBSD a Solaris.
Platforma OSSEC pozostáva z centrálnej riadiacej jednotky, manažéra, ktorý sa používa na príjem a monitorovanie informácií od agentov (malé programy nainštalované na systémoch, ktoré je potrebné monitorovať). Manažér je nainštalovaný v systéme Linux, v ktorom je uložená databáza používaná na kontrolu integrity súborov. Ukladá aj protokoly a záznamy udalostí a výsledky auditu systému.
Projekt OSSEC v súčasnosti podporuje spoločnosť Atomicorp. Spoločnosť dohliada na bezplatnú verziu s otvoreným zdrojom a navyše ponúka komerčnú verziu produktu. podcast, v ktorom projektový manažér OSSEC hovorí o najnovšej verzii systému – OSSEC 3.0. Hovorí aj o histórii projektu a o tom, ako sa líši od moderných komerčných systémov používaných v oblasti počítačovej bezpečnosti.
5. surikata
je open source projekt zameraný na riešenie hlavných problémov počítačovej bezpečnosti. Zahŕňa najmä systém detekcie narušenia, systém prevencie narušenia a nástroj na monitorovanie bezpečnosti siete.
Tento produkt sa objavil v roku 2009. Jeho práca je založená na pravidlách. To znamená, že ten, kto ho používa, má možnosť popísať určité vlastnosti sieťovej prevádzky. Ak sa pravidlo spustí, Suricata vygeneruje upozornenie, zablokuje alebo ukončí podozrivé spojenie, čo opäť závisí od zadaných pravidiel. Projekt podporuje aj viacvláknovú prevádzku. To umožňuje rýchlo spracovať veľké množstvo pravidiel v sieťach, ktoré prenášajú veľké objemy prevádzky. Vďaka podpore multi-threadingu dokáže úplne obyčajný server úspešne analyzovať premávku idúcu rýchlosťou 10 Gbit/s. V tomto prípade správca nemusí obmedzovať súbor pravidiel používaných na analýzu návštevnosti. Suricata tiež podporuje hashovanie a načítanie súborov.
Suricata môže byť nakonfigurovaná tak, aby bežala na bežných serveroch alebo na virtuálnych počítačoch, ako je AWS, pomocou nedávno zavedenej funkcie v produkte .
Projekt podporuje skripty Lua, ktoré možno použiť na vytvorenie komplexnej a podrobnej logiky na analýzu signatúr hrozieb.
Projekt Suricata spravuje Open Information Security Foundation (OISF).
6. Zeek (brácho)
Ako Suricata, (tento projekt sa predtým volal Bro a na BroCon 2018 bol premenovaný na Zeek) je tiež systémom detekcie narušenia a nástrojom na monitorovanie bezpečnosti siete, ktorý dokáže odhaliť anomálie, ako sú podozrivé alebo nebezpečné aktivity. Zeek sa líši od tradičného IDS v tom, že na rozdiel od systémov založených na pravidlách, ktoré zisťujú výnimky, Zeek zachytáva aj metadáta spojené s tým, čo sa deje v sieti. Deje sa tak s cieľom lepšie pochopiť kontext neobvyklého správania siete. To umožňuje napríklad analýzou HTTP volania alebo procedúry výmeny bezpečnostných certifikátov pozrieť sa na protokol, na hlavičky paketov, na názvy domén.
Ak považujeme Zeek za nástroj zabezpečenia siete, potom môžeme povedať, že dáva špecialistovi príležitosť vyšetriť incident tým, že sa dozvie o tom, čo sa stalo pred alebo počas incidentu. Zeek tiež konvertuje údaje o sieťovej prevádzke na udalosti na vysokej úrovni a poskytuje možnosť pracovať s tlmočníkom skriptov. Tlmočník podporuje programovací jazyk, ktorý sa používa na interakciu s udalosťami a na zistenie, čo presne tieto udalosti znamenajú z hľadiska zabezpečenia siete. Programovací jazyk Zeek možno použiť na prispôsobenie spôsobu interpretácie metadát tak, aby vyhovovali potrebám konkrétnej organizácie. Umožňuje vám vytvárať zložité logické podmienky pomocou operátorov AND, OR a NOT. To dáva používateľom možnosť prispôsobiť, ako sa analyzujú ich prostredia. Treba však poznamenať, že v porovnaní so Suricatou sa Zeek môže javiť ako pomerne zložitý nástroj pri vykonávaní prieskumu bezpečnostných hrozieb.
Ak máte záujem o ďalšie podrobnosti o Zeek, kontaktujte nás videá.
7. Panter
je výkonná, natívna cloudová platforma na nepretržité monitorovanie bezpečnosti. Nedávno bol presunutý do kategórie open source. Pri zrode projektu stojí hlavný architekt — riešenia pre automatizovanú analýzu protokolov, ktorých kód otvoril Airbnb. Panther dáva používateľovi jediný systém na centrálne zisťovanie hrozieb vo všetkých prostrediach a organizovanie reakcie na ne. Tento systém je schopný rásť spolu s veľkosťou obsluhovanej infraštruktúry. Detekcia hrozieb je založená na transparentných, deterministických pravidlách na zníženie falošných poplachov a zbytočnej pracovnej záťaže pre bezpečnostných profesionálov.
Medzi hlavné črty Panthera patria:
- Detekcia neoprávneného prístupu k zdrojom pomocou analýzy protokolov.
- Detekcia hrozieb realizovaná vyhľadávaním v protokoloch indikátorov indikujúcich bezpečnostné problémy. Vyhľadávanie sa vykonáva pomocou štandardizovaných dátových polí Panter.
- Kontrola zhody systému so štandardmi SOC/PCI/HIPAA pomocou Pantherove mechanizmy.
- Chráňte svoje cloudové zdroje automatickou opravou chýb konfigurácie, ktoré by v prípade zneužitia útočníkmi mohli spôsobiť vážne problémy.
Panther je nasadený v cloude AWS organizácie pomocou AWS CloudFormation. To umožňuje používateľovi mať svoje údaje vždy pod kontrolou.
Výsledky
Monitorovanie bezpečnosti systému je v dnešnej dobe kritickou úlohou. Pri riešení tohto problému môžu firmám akejkoľvek veľkosti pomôcť open source nástroje, ktoré poskytujú množstvo príležitostí a takmer nič nestoja alebo sú zadarmo.
Vážení čitatelia! Aké nástroje na monitorovanie bezpečnosti používate?
Zdroj: hab.com